《[精选]领航高性能校园网---构建高效,安全,可控,分层的校园网-19846.pptx》由会员分享,可在线阅读,更多相关《[精选]领航高性能校园网---构建高效,安全,可控,分层的校园网-19846.pptx(36页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Copyright 2007 Juniper Networks,Inc.Proprietary and C1 领航高性能校园网领航高性能校园网 -高效高效.分层分层.安全安全.可控可控Juniper NetworksJuniper Networks2007/11/42007/11/4Copyright 2007 Juniper Networks,Inc.Proprietary and C2Agenda校园网发展趋势校园网发展趋势高性能校园网高性能校园网Copyright 2007 Juniper Networks,Inc.Proprietary and C3现状概述现状概述高校信息化的深入发展
2、,无纸化办公的普及,使得网高校信息化的深入发展,无纸化办公的普及,使得网络成为工作生活不可分割的一部分络成为工作生活不可分割的一部分互联网在提供了海量信息资源的同时,催生了各种应互联网在提供了海量信息资源的同时,催生了各种应用系统,占据了大量的网络带宽用系统,占据了大量的网络带宽伴随着互联网的迅速发展,各种蠕虫,攻击,木马恶伴随着互联网的迅速发展,各种蠕虫,攻击,木马恶意软件等等涉及网络安全的事情愈发的突出意软件等等涉及网络安全的事情愈发的突出IPv6在国内高校的发展相比欧美和日本相对缓慢在国内高校的发展相比欧美和日本相对缓慢Copyright 2007 Juniper Networks,In
3、c.Proprietary and C4今后的发展方向今后的发展方向核心网升级核心网升级校园网整体安全校园网整体安全IPv6网络逐步部署网络逐步部署各种数据中心,网络资源的整合各种数据中心,网络资源的整合Copyright 2007 Juniper Networks,Inc.Proprietary and C5Agenda校园网发展趋势校园网发展趋势高性能校园网高性能校园网Copyright 2007 Juniper Networks,Inc.Proprietary and C6高效的网络结构高效的网络结构Copyright 2007 Juniper Networks,Inc.Propriet
4、ary and C6Copyright 2007 Juniper Networks,Inc.Proprietary and C7当前校园网结构当前校园网结构汇聚层汇聚层接入层接入层核心层核心层典型的三层结构典型的三层结构核心+汇聚+接入核心和汇聚采用三层交换机核心和汇聚采用三层交换机接入采用二层交换机接入采用二层交换机Copyright 2007 Juniper Networks,Inc.Proprietary and C8今后校园网结构今后校园网结构网络层次简洁网络层次简洁两层网络结构核心层接入层Copyright 2007 Juniper Networks,Inc.Proprietary
5、and C9接入层接入层分校区分校区核心层核心层分校区分校区校区间互联校区间互联扁平化网络结构扁平化网络结构利旧利旧利旧利旧Copyright 2007 Juniper Networks,Inc.Proprietary and C10核心层核心层接入层接入层接入层接入层接入层接入层接入层接入层高效的网络结构高效的网络结构Copyright 2007 Juniper Networks,Inc.Proprietary and C11高效的网络结构高效的网络结构网络结构扁平化网络结构扁平化减少物理和逻辑级联级数,提供更加快速的数据通道扩展核心节点压缩掉汇聚节点接入直接面向核心,从而形成扁平化的网络结
6、构扁平化的前提扁平化的前提核心设备需要高性能和大容量高密度以太网口用以直接下挂大量的二层设备Juniper专门优化的纯以太网核心路由器满足校园网扁专门优化的纯以太网核心路由器满足校园网扁平化结构平化结构Copyright 2007 Juniper Networks,Inc.Proprietary and C12MX系列运营商级以太网核心路由器系列运营商级以太网核心路由器MX系列三个型号系列三个型号MX960MX480MX240Copyright 2007 Juniper Networks,Inc.Proprietary and C13MX960转发引擎和板卡转发引擎和板卡交换矩阵交换矩阵路由引
7、擎路由引擎线缆管理托架线缆管理托架风扇冷却系统风扇冷却系统风扇冷却系统风扇冷却系统控制指示面板控制指示面板空气进入部分空气进入部分Copyright 2007 Juniper Networks,Inc.Proprietary and C14MX480Copyright 2007 Juniper Networks,Inc.Proprietary and C15MX240Copyright 2007 Juniper Networks,Inc.Proprietary and C16MX960/480/240-高性能和大容量高性能和大容量互联网应用的层出不穷,高校数字化的不断深入,校互联网应用的层出不
8、穷,高校数字化的不断深入,校园网流量的迅猛增长园网流量的迅猛增长包转发能力包转发能力1200/600/300Mpps包转发能力交换能力交换能力960/480/240Gbps吞吐能力Copyright 2007 Juniper Networks,Inc.Proprietary and C17MX960/480/240-接口密度树立了业界新标杆接口密度树立了业界新标杆高密度高密度每板卡40GE每板卡4个10GE整机接口整机接口整机480/240/120个全线速GE接口整机48/24/12个全线速10GE接口Copyright 2007 Juniper Networks,Inc.Proprietar
9、y and C18分层的业务网络分层的业务网络Copyright 2007 Juniper Networks,Inc.Proprietary and C18Copyright 2007 Juniper Networks,Inc.Proprietary and C19多业务混载,职能网络没有分离多业务混载,职能网络没有分离校园网现状校园网现状教师办公OA网和学生网混杂使用增加单一物理网络的不安全性很多高校有分校区和主校区互联尤其分校区和主校区的财务等部门互联一卡通单独的专用网络增加运行维护成本Copyright 2007 Juniper Networks,Inc.Proprietary and
10、C20分层网络分层网络-业务平面分离业务平面分离教师办公教师办公OA网和学生网网和学生网从管理和运行维护角度,应该将二者分离财务网络财务网络安全,独立的网络和分校区财务部门互联,提高效率一卡通网络一卡通网络安全,独立的网络降低运行维护成本如何做到如何做到?Juniper逻辑路由器构建N平面网络Copyright 2007 Juniper Networks,Inc.Proprietary and C21逻辑路由器逻辑路由器单台路由器可以划分出单台路由器可以划分出15台逻辑路由器和台逻辑路由器和1台主路由器,台主路由器,路由器上的接口可以任意划分到任意的路由器中路由器上的接口可以任意划分到任意的路
11、由器中每个逻辑路由器都有自己的单独的路由表和转发表每个逻辑路由器都有自己的单独的路由表和转发表都使用都使用ASICs来转发报文,因此这来转发报文,因此这16台路由器接口都台路由器接口都是线速转发是线速转发主路由器主路由器主路由器主路由器逻辑路由器逻辑路由器逻辑路由器逻辑路由器Copyright 2007 Juniper Networks,Inc.Proprietary and C22主路由器主路由器 学生网学生网:LR#0 教师网教师网:LR#1一卡通网一卡通网:LR#2财务专网财务专网:LR#3V6实验网实验网:LR#4。:LR#5主路由器主路由器学生网学生网:LR#0 教师网教师网:LR#
12、1一卡通网一卡通网:LR#2财务专网财务专网:LR#3V6实验网实验网:LR#4。:LR#5N平面网络平面网络L2SW业务网络分层业务网络分层各业务网络之间完全隔离,在需要互通的业务网络之间配置严格的控制策略单一物理网络承载多业务良好的网络扩展性,极大的节省投资成本实施部署简单,节省运行维护成本主路由器主路由器学生网学生网:LR#0 教师网教师网:LR#1一卡通网一卡通网:LR#2财务专网财务专网:LR#3V6实验网实验网:LR#4。:LR#5VLAN#600VLAN#500VLAN#400VLAN#300VLAN#13VLAN#12VLAN#11VLAN#10VLAN#600VLAN#500
13、VLAN#400VLAN#300VLAN#13VLAN#12VLAN#11VLAN#10L2SW学生用户学生用户教师用户教师用户全部用户全部用户财务人员财务人员MXMX核心节点核心节点MXMX核心节点核心节点MXMX核心节点核心节点科研人员科研人员。Copyright 2007 Juniper Networks,Inc.Proprietary and C23终端到核心的安全解决方案终端到核心的安全解决方案Copyright 2007 Juniper Networks,Inc.Proprietary and C23Copyright 2007 Juniper Networks,Inc.Propr
14、ietary and C24校园网安全概述校园网安全概述影响网络安全的因素影响网络安全的因素设备尤其是核心设备自身的安全性,以及设备抗压力/攻击的能力用户终端的安全性用户滥用行为各种网络资源的限制和授权访问Copyright 2007 Juniper Networks,Inc.Proprietary and C25路由器安全之道路由器安全之道模块化模块化,成熟的成熟的JUNOS系统意味着很少的系统意味着很少的bug控制和转发分离控制和转发分离路由平台在面临大流量的情况下,依然可以保持路由平台的稳定控制平面和转发平面之间内置防火墙进行过滤控制平面和转发平面之间内置防火墙进行过滤基于基于ASIC的
15、数据包过滤的数据包过滤/速率限制速率限制/采样等功能保证路采样等功能保证路由器的安全和城域网的安全由器的安全和城域网的安全通过ASIC执行安全控制功能,使得路由器在获得丰富功能的同时,性能不打折扣Copyright 2007 Juniper Networks,Inc.Proprietary and C26从用户终端和用户行为方面解决安全问题从用户终端和用户行为方面解决安全问题安全的网络安全的网络接入网络的用户终端系统应该是无漏洞的接入网络的用户终端应该是干净的接入网络的用户终端应该是干净的用户网络行为应该是规范的用户网络行为应该是规范的授权访问各种网络资源授权访问各种网络资源Juniper 统
16、一接入控制统一接入控制(UAC)解决方案解决方案Copyright 2007 Juniper Networks,Inc.Proprietary and C27Unified Access Control SolutionInfranet Agent(IA)全面的企业整合AAA AAA 认证服认证服务器务器Enforcers FirewallsIDPDXSwitchesInfranet Controller(IC)基于用户标识,网基于用户标识,网络标识和端点评估络标识和端点评估的全面的策略执行的全面的策略执行IA 保护认证过的客户端免受恶意的不安全的客户端的侵袭。主机安全检查个人防火墙/IPSE
17、C VPN引擎MS Windows 单点登陆Mac 和Linux 无客户端的执行用户认证(使用已有的 AAA 系统)决定用户的访问权限在Infranet Enforcer为端点提供访问集中的策略管理,将安全策略加载到端口和执行点集成的修复方案Copyright 2007 Juniper Networks,Inc.Proprietary and C28灵活的流量控制灵活的流量控制Copyright 2007 Juniper Networks,Inc.Proprietary and C28Copyright 2007 Juniper Networks,Inc.Proprietary and C29
18、校园网可控性校园网可控性良好网络控制体现在两个方面良好网络控制体现在两个方面网络控制点的选择用户流量的控制Copyright 2007 Juniper Networks,Inc.Proprietary and C30控制点控制点当前三层网络结构当前三层网络结构接入层接入层设备,品牌相对较多,该层面设备功能单一,控制功能有限,而且设备数量非常庞大,实施困难汇聚层核心层汇聚和核心层的设备,业务控制能力相对较强,但是就目前校园网的实际情况来看,各种控制功能不尽如人意Copyright 2007 Juniper Networks,Inc.Proprietary and C31控制点控制点扁平化的二层网
19、络结构扁平化的二层网络结构接入层该层同样存在如前所述的问题,品牌相对较多,该层面设备功能单一,控制功能有限,而且设备数量非常庞大,实施困难核心层作为整个网络的控制层,设备数量少,实施简易核心设备的控制能力非常强,完全可以严格控制网络的能力由于从接入层直接到核心层之间经过的设备,都是起用二层功能,通过802.1q VLAN直接终结到核心路由器,因此子接口做为这些VLAN的默认网关Copyright 2007 Juniper Networks,Inc.Proprietary and C32核心层核心层接入层接入层接入层接入层接入层接入层接入层接入层控制点的选择控制点的选择网络控制点网络控制点Cop
20、yright 2007 Juniper Networks,Inc.Proprietary and C33流量控制流量控制校园网流量现状校园网流量现状绝大部分流量是学生使用产生极小部分流量是其他用户产生学生大量使用各种学生大量使用各种P2P应用,消耗了大量的校园网核应用,消耗了大量的校园网核心带宽和校园网有限的出口带宽心带宽和校园网有限的出口带宽因此校园网流量管理的关键,是对学生流量的管理因此校园网流量管理的关键,是对学生流量的管理Copyright 2007 Juniper Networks,Inc.Proprietary and C34流量细分化管理流量细分化管理在核心路由器上对每用户进行相
21、对精细的流量监管和在核心路由器上对每用户进行相对精细的流量监管和控制控制基于应用类型http/email/voip等进行分类对于每个应用流量进行流量监管对于每个IP地址进行流量监管对出入校园网的流量进行监管控制对出入校园网的流量进行监管控制对于教师用户群体不进行流量监管对于学生用户群体进行流量监管对于每个学生分配一定的带宽资源对校园网互访流量不进行控制对校园网互访流量不进行控制Copyright 2007 Juniper Networks,Inc.Proprietary and C35Copyright 2007 Juniper Networks,Inc.Proprietary and C35Copyright 2007 Juniper Networks,Inc.Proprietary and C36演讲完毕,谢谢观看!